畢業(yè)設(shè)計(jì)—校園網(wǎng)網(wǎng)絡(luò)安全隱患及解決方案

1、<p><b>　　畢業(yè)設(shè)計(jì)（論文）</b></p><p>　　設(shè)計(jì)（論文）題目 xx校園網(wǎng)網(wǎng)絡(luò)安全隱患及解決方案 </p><p>　　選題性質(zhì)：設(shè)計(jì) □論文 </p><p>　　院 系 電子工程學(xué)院 </p><p>　　

2、專(zhuān) 業(yè) 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù) </p><p>　　班 級(jí) 2010級(jí)3班 </p><p>　　學(xué) 號(hào) </p><p>　　學(xué)生姓名 </p><p>　　指導(dǎo)教師 </p><

3、;p>　　成 績(jī) </p><p><b>　　教務(wù)處制</b></p><p>　　年 月 日</p><p><b>　　摘 要</b></p><p>　　本設(shè)計(jì)以網(wǎng)絡(luò)為基礎(chǔ)，分析了國(guó)內(nèi)校園網(wǎng)安全的發(fā)展趨勢(shì)，然后結(jié)合學(xué)校

4、校園網(wǎng)的實(shí)際情況，分析了校園網(wǎng)存在的安全隱患，從整體上對(duì)校園網(wǎng)絡(luò)安全系統(tǒng)進(jìn)行規(guī)劃設(shè)計(jì)，充分整合現(xiàn)行的幾種關(guān)鍵網(wǎng)絡(luò)安全技術(shù)，提出了一整套校園信息網(wǎng)絡(luò)安全防御的設(shè)計(jì)與實(shí)現(xiàn)，力保校園網(wǎng)絡(luò)健康、可靠、有效地運(yùn)行。在校園網(wǎng)絡(luò)安全解決方案中包括防火墻技術(shù)、入侵檢測(cè)系統(tǒng)(IDS)、防病毒、數(shù)據(jù)備份等幾個(gè)部分，設(shè)計(jì)對(duì)各個(gè)部分進(jìn)行了詳細(xì)的分析。在對(duì)全局校園網(wǎng)絡(luò)安全體系方案中各部分論述的基礎(chǔ)上，還對(duì)主要的關(guān)鍵技術(shù)做了配置說(shuō)明，并給出了實(shí)際運(yùn)行中的實(shí)例。本論

5、文設(shè)計(jì)的校園網(wǎng)絡(luò)安全防御方案，現(xiàn)正在實(shí)際校園網(wǎng)環(huán)境中應(yīng)用，其運(yùn)行結(jié)果表明了這種校園網(wǎng)安全防御系統(tǒng)的可行性和實(shí)際應(yīng)用性，達(dá)到了實(shí)際應(yīng)用效果。</p><p>　　關(guān)鍵詞：校園網(wǎng)、安全管理、防火墻、入侵檢測(cè)</p><p><b>　　目 錄</b></p><p><b>　　摘 要I</b></p><

6、;p><b>　　目 錄II</b></p><p><b>　　前 言1</b></p><p>　　第１章 重慶信息技術(shù)職業(yè)學(xué)院校園網(wǎng)3</p><p>　　1.1 重慶信息技術(shù)職業(yè)學(xué)院網(wǎng)絡(luò)背景介紹3</p><p>　　1.1.1 建設(shè)背景和現(xiàn)狀3</p><

7、;p>　　1.1.2 建設(shè)需求分析3</p><p>　　1.2 重慶信息技術(shù)職業(yè)學(xué)院安全隱患介紹4</p><p>　　1.2.1校園網(wǎng)網(wǎng)絡(luò)安全的概述4</p><p>　　1.2.2 網(wǎng)絡(luò)安全的含義5</p><p>　　1.2.3 威脅網(wǎng)絡(luò)安全的不安全因素分析5</p><p>　　第2章 重慶信

8、息技術(shù)職業(yè)學(xué)院校園網(wǎng)網(wǎng)絡(luò)安全隱患分析7</p><p>　　2.1 校園網(wǎng)安全存在的缺陷7</p><p>　　2.1.1 網(wǎng)絡(luò)自身的安全缺陷7</p><p>　　2.1.2 網(wǎng)絡(luò)結(jié)構(gòu)、配置、物理設(shè)備不安全7</p><p>　　2.1.3 內(nèi)部用戶(hù)的安全威脅7</p><p>　　2.1.4 軟件的漏洞

9、7</p><p>　　2.1.5 網(wǎng)絡(luò)結(jié)構(gòu)、配置、物理設(shè)備不安全7</p><p>　　2.1.6 各種非法入侵和攻擊8</p><p>　　2.2 校園網(wǎng)安全管理和維護(hù)的措施與建議8</p><p>　　2.2.1 配置高性能的防火墻產(chǎn)品8</p><p>　　2.2.2 網(wǎng)絡(luò)設(shè)計(jì)、使用更合理化8<

10、/p><p>　　2.2.3 軟件漏洞修復(fù)8</p><p>　　2.2.4 防殺毒軟件系統(tǒng)9</p><p>　　2.2.5 配備入侵檢測(cè)系統(tǒng)(IDS)并建立蜜罐陷阱系統(tǒng)9</p><p>　　2.2.6 系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估9</p><p>　　2.2.7 災(zāi)難恢復(fù)計(jì)劃9</p><p>

11、;　　2.2.8 加強(qiáng)管理9</p><p>　　2.3 校園網(wǎng)的安全防范和管理9</p><p>　　第3章 重慶信息技術(shù)職業(yè)學(xué)院校園網(wǎng)安全隱患解決方案與實(shí)現(xiàn)11</p><p>　　3.1 防火墻的選擇與設(shè)計(jì)11</p><p>　　3.1.1Cisco PIX525防火墻介紹11</p><p>　　3

12、.1.2 Cisco PIX525防火墻的安裝和配置12</p><p>　　3.2 校園網(wǎng)身份認(rèn)證系統(tǒng)的選擇與設(shè)計(jì)15</p><p>　　3.3 Chost數(shù)據(jù)備份實(shí)現(xiàn)19</p><p>　　3.3.1 數(shù)據(jù)智能備份23</p><p>　　3.3.2 數(shù)據(jù)備份設(shè)計(jì)硬件24</p><p>　　3.3.

13、3 數(shù)據(jù)備份設(shè)計(jì)軟件23</p><p>　　3.4 入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)23</p><p>　　3.4.1 金諾入侵檢測(cè)系統(tǒng)的組成23</p><p>　　3.4.2 傳感器的安裝24</p><p>　　3.4.3 控制臺(tái)軟件的配置24</p><p>　　3.4.4 控制臺(tái)軟件的使用25</p&

14、gt;<p><b>　　總 結(jié)29</b></p><p><b>　　參考文獻(xiàn)30</b></p><p><b>　　前 言　</b></p><p>　　互聯(lián)網(wǎng)是全球最大的網(wǎng)絡(luò)結(jié)構(gòu)，為全世界200多個(gè)國(guó)家的幾億用戶(hù)提供了海量的信息資源。但與此同時(shí)，也產(chǎn)生了很多的信息安全問(wèn)題，

15、各種黑客、病毒、安全漏洞、非法入侵等都在不斷的侵蝕著網(wǎng)絡(luò)，給各國(guó)的經(jīng)濟(jì)及信息化發(fā)展帶來(lái)了巨大的威脅和無(wú)法挽回的損失，互聯(lián)網(wǎng)的安全問(wèn)題己經(jīng)擺在各國(guó)面前，受到了各國(guó)政府的極大關(guān)注。</p><p>　　據(jù)美國(guó)聯(lián)邦調(diào)查局統(tǒng)計(jì)，美國(guó)每年因網(wǎng)絡(luò)安全造成的損失高達(dá)75億美元。世界著名的商業(yè)網(wǎng)站，如Yahoo，EBay，CNIN都曾經(jīng)被黑客入侵，連專(zhuān)門(mén)從事網(wǎng)絡(luò)安全的RSA網(wǎng)站也受到黑客的攻擊。據(jù)美國(guó)金融時(shí)報(bào)報(bào)道，世界上平均每2

16、0分鐘就發(fā)生一次入侵國(guó)際互聯(lián)網(wǎng)絡(luò)的計(jì)算機(jī)安全事件，三分之一的防火墻被突破。美國(guó)聯(lián)邦調(diào)查局計(jì)算機(jī)犯罪組負(fù)責(zé)人吉姆·塞特爾稱(chēng)：給我精選10名“黑客"，組成小組，90天內(nèi)，我將使美國(guó)趴下。一位計(jì)算機(jī)專(zhuān)家毫不夸張地說(shuō)：如果給我一臺(tái)普通計(jì)算機(jī)、一條電話(huà)線(xiàn)和一個(gè)調(diào)制解調(diào)器，就可以令某個(gè)地區(qū)的網(wǎng)絡(luò)運(yùn)行失常。在我國(guó)，有98％的網(wǎng)絡(luò)系統(tǒng)受到各種病毒、黑客及非法入侵的攻擊，許多的ISP、證券公司及銀行也多次被國(guó)內(nèi)外黑客攻擊，造成了巨大的

17、經(jīng)濟(jì)損失，針對(duì)其他行業(yè)的網(wǎng)絡(luò)犯罪事件也無(wú)時(shí)無(wú)刻不在威脅著網(wǎng)絡(luò)的安全。</p><p>　　另外，各國(guó)的專(zhuān)網(wǎng)建設(shè)己經(jīng)有了長(zhǎng)足的發(fā)展，應(yīng)用到了各國(guó)社會(huì)經(jīng)濟(jì)建設(shè)的各個(gè)領(lǐng)域，金融證券、教育科研、電信、廣電、能源交通、國(guó)防和商貿(mào)企業(yè)等各部門(mén)都加大了專(zhuān)網(wǎng)的開(kāi)發(fā)和建設(shè)力度，專(zhuān)網(wǎng)在提供多種信息化服務(wù)、給人們帶來(lái)便利的同時(shí)，其安全問(wèn)題也日益突出，專(zhuān)網(wǎng)的安全問(wèn)題己成為各國(guó)政府待解決的重要問(wèn)題。</p><p>

18、;　　學(xué)校是教書(shū)育人的場(chǎng)所，校園網(wǎng)作為一種信息化的手段在其中起著非常重要的作用。然而校園網(wǎng)的安全問(wèn)題日益突出，己經(jīng)成為威脅學(xué)校信息技術(shù)教育的首要問(wèn)題。與互聯(lián)網(wǎng)所經(jīng)受的考驗(yàn)一樣，不健康信息、非法入侵和其它各種不安全因素以其越來(lái)越大的危害侵蝕著學(xué)校這塊凈土。</p><p>　　面對(duì)這些嚴(yán)峻的現(xiàn)實(shí)，各國(guó)政府不得不重視網(wǎng)絡(luò)安全問(wèn)題。他們開(kāi)發(fā)了各式各樣的網(wǎng)絡(luò)安全產(chǎn)品，如入侵檢測(cè)系統(tǒng)(IDS)、防火墻、防病毒軟件等來(lái)有效預(yù)

19、防和處理各種不安全因素，保證網(wǎng)絡(luò)系統(tǒng)的安全性。保障網(wǎng)絡(luò)系統(tǒng)的安全己經(jīng)成為刻不容緩的重要課題。</p><p>　　目前網(wǎng)絡(luò)經(jīng)濟(jì)正在成為推動(dòng)經(jīng)濟(jì)持續(xù)增長(zhǎng)的重要因素之一，但是與網(wǎng)絡(luò)發(fā)展速度相比，網(wǎng)絡(luò)安全問(wèn)題卻一直沒(méi)有得到很好的解決。據(jù)統(tǒng)計(jì)，面向計(jì)算機(jī)的犯罪每年增長(zhǎng)率為30％，造成這種情況的原因主要為網(wǎng)絡(luò)的開(kāi)放性和復(fù)雜性。計(jì)算機(jī)犯罪已經(jīng)成為普遍的國(guó)際性問(wèn)題，各國(guó)都在加大對(duì)信息網(wǎng)絡(luò)安全核心技術(shù)和產(chǎn)品的研發(fā)投入：美國(guó)總統(tǒng)布

20、什2002年就發(fā)布了16號(hào)“國(guó)家安全總統(tǒng)令”，組建了美軍網(wǎng)絡(luò)黑客部隊(duì)—網(wǎng)絡(luò)戰(zhàn)聯(lián)合功能構(gòu)成司令部，于2007年2月份正式編入作戰(zhàn)序列。2005年，美軍投入20億美元用于信息系統(tǒng)的網(wǎng)絡(luò)安全保密建設(shè)。2007年，美軍正在實(shí)施“密碼現(xiàn)代化計(jì)劃"，準(zhǔn)備用15年時(shí)間，投入十億美元使密碼系統(tǒng)全面升級(jí)。其他西方國(guó)家也紛紛調(diào)整科研發(fā)展計(jì)劃，將信息安全技術(shù)列為戰(zhàn)略性技術(shù)予以重點(diǎn)投入。我國(guó)網(wǎng)絡(luò)建設(shè)發(fā)展迅速，取得了巨大成績(jī)。但是，由于沒(méi)有解決網(wǎng)絡(luò)安全

21、問(wèn)題的好的方案，且網(wǎng)絡(luò)安全建設(shè)經(jīng)費(fèi)投入不足，網(wǎng)絡(luò)安全問(wèn)題還是相當(dāng)嚴(yán)重。計(jì)算機(jī)系統(tǒng)也多采用開(kāi)放式的操作系統(tǒng)，安全級(jí)別較低，很難抵抗黑客的攻擊。有些單位甚至對(duì)網(wǎng)絡(luò)安全沒(méi)有概念，完全沒(méi)有安全措施，更談不上安全管理與安全政策的制定。國(guó)家領(lǐng)導(dǎo)及各部門(mén)對(duì)此給予高度重視，國(guó)家領(lǐng)導(dǎo)人</p><p>　　20世紀(jì)80年代美國(guó)國(guó)防部基于軍事計(jì)算機(jī)系統(tǒng)的保密需要，在20世紀(jì)70年代的基礎(chǔ)理論研究成果——計(jì)算機(jī)保密模型的基礎(chǔ)上，制訂了

22、“可信計(jì)算機(jī)系統(tǒng)安全評(píng)價(jià)準(zhǔn)則”，其后又制訂了關(guān)于網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)庫(kù)等方面的準(zhǔn)則和系列安全解釋?zhuān)纬闪税踩畔⑾到y(tǒng)體系結(jié)構(gòu)的最早原則。至今美國(guó)已研究出達(dá)到TCSEC要求的安全系統(tǒng)(包括安全操作系統(tǒng)、安全數(shù)據(jù)庫(kù)、安全網(wǎng)絡(luò)部件)產(chǎn)品數(shù)百種。</p><p>　　迄今為止，在黑客攻擊與防護(hù)的網(wǎng)絡(luò)安全對(duì)抗中，黑客攻擊仍占據(jù)了上風(fēng)，我們基本上都是在被動(dòng)防護(hù)。為了爭(zhēng)取在攻擊與防護(hù)的安全對(duì)抗中占據(jù)主動(dòng)地位，近來(lái)，取證、陷阱、攻擊定

23、位、入侵偵測(cè)、反攻擊、容錯(cuò)、自動(dòng)恢復(fù)等主動(dòng)防御技術(shù)得到重視和發(fā)展。</p><p>　　第1章 重慶信息技術(shù)職業(yè)學(xué)院校園網(wǎng)</p><p>　　1.1 重慶信息技術(shù)職業(yè)學(xué)院網(wǎng)絡(luò)背景介紹</p><p>　　重慶信息技術(shù)職業(yè)學(xué)院校園網(wǎng)建設(shè)著眼于為教育教學(xué)服務(wù)，為促進(jìn)學(xué)校教育現(xiàn)代化服務(wù)。緊密結(jié)合教育教學(xué)的需要和經(jīng)濟(jì)承受能力的實(shí)際，本著統(tǒng)一規(guī)劃、分布實(shí)施的原則，有計(jì)劃、有

24、重點(diǎn)，分地區(qū)、分層次，積極穩(wěn)妥地推進(jìn)校園網(wǎng)建設(shè)。嚴(yán)格規(guī)范校園網(wǎng)建設(shè)及相應(yīng)的軟件開(kāi)發(fā)標(biāo)準(zhǔn)，確保信息化校園的整體建設(shè)規(guī)劃和管理要求的落實(shí)。</p><p>　　重慶信息技術(shù)職業(yè)學(xué)院校園網(wǎng)建設(shè)同時(shí)，切實(shí)做好學(xué)校教師、技術(shù)與管理及行政人員的不同層次的培訓(xùn)，形成一支能使校園網(wǎng)充分發(fā)揮使用效益的應(yīng)用隊(duì)伍、教學(xué)軟件開(kāi)發(fā)隊(duì)伍和能保證校園網(wǎng)正常持續(xù)運(yùn)行的軟、硬件管理隊(duì)伍。積極開(kāi)發(fā)和推廣使用教育教學(xué)軟件，建設(shè)信息資源庫(kù)，充分發(fā)揮校園

25、網(wǎng)的使用效益。</p><p>　　1.1.1 建設(shè)背景和現(xiàn)狀</p><p>　　重慶信息技術(shù)職業(yè)學(xué)院很早就展開(kāi)了計(jì)算機(jī)輔助教學(xué)，并建立了大規(guī)模的計(jì)算機(jī)實(shí)驗(yàn)室，學(xué)校擁有計(jì)算機(jī)上千臺(tái)，但由于目前各個(gè)系都是自己組建自己的內(nèi)部網(wǎng)絡(luò)，采用的軟件平臺(tái)、硬件</p><p>　　1.1.2 建設(shè)需求分析</p><p>　　重慶信息技術(shù)職業(yè)學(xué)院校園網(wǎng)建

26、設(shè)著眼于為教育教學(xué)服務(wù)，為促進(jìn)學(xué)校教育現(xiàn)代化服務(wù)。緊密結(jié)合教育教學(xué)的需要和經(jīng)濟(jì)承受能力的實(shí)際，本著統(tǒng)一規(guī)劃、分布實(shí)施的原則，有計(jì)劃、有重點(diǎn)，分地區(qū)、分層次，積極穩(wěn)妥地推進(jìn)校園網(wǎng)建設(shè)。嚴(yán)格規(guī)范校園網(wǎng)建設(shè)及相應(yīng)的軟件開(kāi)發(fā)標(biāo)準(zhǔn)，確保信息化校園的整體建設(shè)規(guī)劃和管理要求的落實(shí)。</p><p>　　重慶信息技術(shù)職業(yè)學(xué)院很早就展開(kāi)了計(jì)算機(jī)輔助教學(xué)，并建立了大規(guī)模的計(jì)算機(jī)實(shí)驗(yàn)室，學(xué)校擁有計(jì)算機(jī)上千臺(tái)，但由于目前各個(gè)系都是自己組

27、建自己的內(nèi)部網(wǎng)絡(luò)，采用的軟件平臺(tái)、硬件。</p><p>　　重慶信息技術(shù)職業(yè)學(xué)院很早就展開(kāi)了計(jì)算機(jī)輔助教學(xué)，并建立了大規(guī)模的計(jì)算機(jī)實(shí)驗(yàn)室，學(xué)校擁有計(jì)算機(jī)上千臺(tái)，但由于目前各個(gè)系都是自己組建自己的內(nèi)部網(wǎng)絡(luò)，采用的軟件平臺(tái)、硬件。</p><p>　　1.2 重慶信息技術(shù)職業(yè)學(xué)院安全隱患介紹</p><p>　　互聯(lián)網(wǎng)起源于1969年的ARPANet最初用于軍事目的,

28、1993年開(kāi)始應(yīng)用于商業(yè)?，F(xiàn)今隨著計(jì)算機(jī)技術(shù)的廣泛發(fā)展,計(jì)算機(jī)應(yīng)用領(lǐng)域不斷擴(kuò)大,特別是在教育機(jī)構(gòu),校園網(wǎng)成為教學(xué)、辦公科研、資源共享的重要工具。校園網(wǎng)帶來(lái)方便的同時(shí),網(wǎng)絡(luò)本身的開(kāi)放、共享、廣泛、復(fù)雜性也帶來(lái)了一系列令人擔(dān)心的問(wèn)題,網(wǎng)絡(luò)安全已經(jīng)被提到了重要日程。無(wú)論我們是否愿意承認(rèn),只要連接了Internet,都是容易受攻擊的。因而在網(wǎng)絡(luò)本身的開(kāi)放性、共享性的前提下,如何保證校園網(wǎng)絡(luò)的安全性,以抵抗入侵、防范網(wǎng)絡(luò)攻擊等,成為目前校園網(wǎng)絡(luò)建

29、立健全的關(guān)鍵。</p><p>　　1.2.1校園網(wǎng)網(wǎng)絡(luò)安全的概述</p><p>　　隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，可以說(shuō)現(xiàn)在大部分的學(xué)校都建立了校園網(wǎng)并投入了使用，這對(duì)加快信息處理、提高工作效益、實(shí)現(xiàn)資源共享都起到了無(wú)法估量的作用。但，在積極發(fā)展信息自動(dòng)化的同時(shí)，網(wǎng)絡(luò)安全問(wèn)題成為了一個(gè)非常嚴(yán)重的隱患，就好像一個(gè)定時(shí)炸彈深深埋在校園現(xiàn)代化的進(jìn)程中。2003年爆發(fā)的“震蕩波、沖擊波”，2006年的熊

30、貓燒香病毒等雖然沒(méi)有給校園網(wǎng)絡(luò)造成很大的傷害，但足以認(rèn)識(shí)到網(wǎng)絡(luò)安全的重要性，因此搞好網(wǎng)絡(luò)安全已經(jīng)成為一個(gè)重要的課題。要解決網(wǎng)絡(luò)安全問(wèn)題，了解網(wǎng)絡(luò)的基本結(jié)構(gòu)和功能是首要問(wèn)題。重慶信息技術(shù)職業(yè)學(xué)院網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D如圖1.1。</p><p>　　圖1.1 校園網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D</p><p>　　1.2.2 網(wǎng)絡(luò)安全的含義</p><p>　　網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的

31、硬件，軟件及數(shù)據(jù)受到保護(hù)，不遭受偶然或惡意的破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。且在不同環(huán)境和應(yīng)用中又不同的解釋。</p><p>　?。?）運(yùn)行系統(tǒng)安全：即保證信息處理和傳輸系統(tǒng)的安全，包括計(jì)算機(jī)系統(tǒng)機(jī)房環(huán)境和傳輸環(huán)境的法律保護(hù)、計(jì)算機(jī)結(jié)構(gòu)設(shè)計(jì)的安全性考慮、硬件系統(tǒng)的安全運(yùn)行、計(jì)算機(jī)操作系統(tǒng)和應(yīng)用軟件的安全、數(shù)據(jù)庫(kù)系統(tǒng)的安全、電磁信息泄露的防御等。</p><p>

32、　?。?）網(wǎng)絡(luò)上系統(tǒng)信息的安全：包括用戶(hù)口令鑒別、用戶(hù)存取權(quán)限控制、數(shù)據(jù)存取權(quán)限、方式控制、安全審計(jì)、安全問(wèn)題跟蹤、計(jì)算機(jī)病毒防治、數(shù)據(jù)加密等。</p><p>　?。?）網(wǎng)絡(luò)上信息傳輸?shù)陌踩杭葱畔鞑ズ蠊陌踩?、包括信息過(guò)濾、不良信息過(guò)濾等。</p><p>　?。?）網(wǎng)絡(luò)上信息內(nèi)容的安全：即我們討論的狹義的“信息安全”；側(cè)重于保護(hù)信息的機(jī)密性、真實(shí)性和完整性。本質(zhì)上是保護(hù)用戶(hù)的利益和

33、隱私。</p><p>　　1.2.3 威脅網(wǎng)絡(luò)安全的不安全因素分析</p><p>　?。ㄒ唬┚W(wǎng)絡(luò)的開(kāi)放性帶來(lái)的安全問(wèn)題</p><p>　　Internet的開(kāi)放性以及其他方面因素導(dǎo)致了網(wǎng)絡(luò)環(huán)境下的計(jì)算機(jī)系統(tǒng)存在很多安全問(wèn)題。為了解決這些安全問(wèn)題，各種安全機(jī)制、策略、管理和技術(shù)被研究和應(yīng)用。然而，即使在使用了現(xiàn)有的安全工具和技術(shù)的情況下，網(wǎng)絡(luò)的安全仍然存在很大隱

34、患，這些安全隱患主要可以包括為以下幾點(diǎn):</p><p>　　(1)安全機(jī)制在特定環(huán)境下并非萬(wàn)無(wú)一失。比如防火墻，它雖然是一種有效的安全工具，可以隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪(fǎng)問(wèn)。但是對(duì)于內(nèi)部網(wǎng)絡(luò)之間的訪(fǎng)問(wèn)，防火墻往往是無(wú)能為力的。因此，對(duì)于內(nèi)部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)之間的入侵行為和內(nèi)外勾結(jié)的入侵行為，防火墻是很難發(fā)覺(jué)和防范的。</p><p>　　(2)安全工具的使用受到人為因素的

35、影響。一個(gè)安全工具能不能實(shí)現(xiàn)期望的效果，在很大程度上取決于使用者，包括系統(tǒng)管理者和普通用戶(hù)，不正當(dāng)?shù)脑O(shè)置就會(huì)產(chǎn)生不安全因素。例如，WindowsXP在進(jìn)行合理的設(shè)置后可以達(dá)到C級(jí)的安全性，但很少有人能夠?qū)indowsXP本身的安全策略進(jìn)行合理的設(shè)置。雖然在這方面，可以通過(guò)靜態(tài)掃描工具來(lái)檢測(cè)系統(tǒng)是否進(jìn)行了合理的設(shè)置，但是這些掃描工具基本上也只是基于一種缺省的系統(tǒng)安全策略進(jìn)行比較，針對(duì)具體的應(yīng)用環(huán)境和專(zhuān)門(mén)的應(yīng)用需求就很難判斷設(shè)置的正確性。

36、</p><p>　　(3)系統(tǒng)的后門(mén)是難于考慮到的地方。防火墻很難考慮到這類(lèi)安全問(wèn)題，多數(shù)情況下，這類(lèi)入侵行為可以堂而皇之經(jīng)過(guò)防火墻而很難被察覺(jué)；比如說(shuō)，眾所周知的ASP源碼問(wèn)題，這個(gè)問(wèn)題在IIS服務(wù)器4.0以前一直存在，它是IIS服務(wù)的設(shè)計(jì)者留下的一個(gè)后門(mén)，任何人都可以使用瀏覽器從網(wǎng)絡(luò)上方便地調(diào)出ASP程序的源碼，從而可以收集系統(tǒng)信息，進(jìn)而對(duì)系統(tǒng)進(jìn)行攻擊。對(duì)于這類(lèi)入侵行為，防火墻是無(wú)法發(fā)覺(jué)的，因?yàn)閷?duì)于防火墻來(lái)

37、說(shuō)，該入侵行為的訪(fǎng)問(wèn)過(guò)程和正常的WEB訪(fǎng)問(wèn)是相似的，唯一區(qū)別是入侵訪(fǎng)問(wèn)在請(qǐng)求鏈接中多加了一個(gè)后綴。</p><p>　?。ǘ┚W(wǎng)絡(luò)安全的主要威脅因素</p><p>　　(1)軟件漏洞：每一個(gè)操作系統(tǒng)或網(wǎng)絡(luò)軟件的出現(xiàn)都不可能是無(wú)缺陷和漏洞的。這就使我們的計(jì)算機(jī)處于危險(xiǎn)的境地，一旦連接入網(wǎng)，將成為眾矢之的。</p><p>　　(2)配置不當(dāng)：安全配置不當(dāng)造成安全漏洞

38、，例如，防火墻軟件的配置不正確，那么它根本不起作用。對(duì)特定的網(wǎng)絡(luò)應(yīng)用程序，當(dāng)它啟動(dòng)時(shí)，就打開(kāi)了一系列的安全缺口，許多與該軟件捆綁在一起的應(yīng)用軟件也會(huì)被啟用。除非用戶(hù)禁止該程序或?qū)ζ溥M(jìn)行正確配置，否則，安全隱患始終存在。</p><p>　　(3)安全意識(shí)不強(qiáng)：用戶(hù)口令選擇不慎，或?qū)⒆约旱膸ぬ?hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅。</p><p>　　(4)病毒：目前數(shù)據(jù)安全的頭

39、號(hào)大敵是計(jì)算機(jī)病毒，它是編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或數(shù)據(jù)，影響計(jì)算機(jī)軟件、硬件的正常運(yùn)行并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。計(jì)算機(jī)病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性等特點(diǎn)。因此，提高對(duì)病毒的防范刻不容緩。</p><p>　　第2章 重慶信息技術(shù)職業(yè)學(xué)院校園網(wǎng)網(wǎng)絡(luò)安全隱患分析</p><p>　　近幾年來(lái),隨著高校規(guī)模的不斷擴(kuò)大,新校區(qū)或者合并校區(qū)的擴(kuò)建,

40、高校校園網(wǎng)普遍存在網(wǎng)絡(luò)規(guī)模較大,上網(wǎng)地點(diǎn)較分散,網(wǎng)絡(luò)監(jiān)管困難,上網(wǎng)行為不夠規(guī)范等現(xiàn)象,因而加大了校園網(wǎng)絡(luò)在使用過(guò)程中的安全隱患。</p><p>　　2.1 校園網(wǎng)安全存在的缺陷</p><p>　　2.1.1 網(wǎng)絡(luò)自身的安全缺陷</p><p>　　網(wǎng)絡(luò)是一個(gè)開(kāi)放的環(huán)境,TCP/IP是一個(gè)通用的協(xié)議,即通過(guò)IP地址作為網(wǎng)絡(luò)節(jié)點(diǎn)的唯一標(biāo)識(shí),基于IP地址進(jìn)行多用戶(hù)的認(rèn)

41、證和授權(quán),并根據(jù)IP包中源IP地址判斷數(shù)據(jù)的真實(shí)和安全性,但該協(xié)議的最大缺點(diǎn)就是缺乏對(duì)IP地址的保護(hù),缺乏對(duì)源IP地址真實(shí)性的認(rèn)證機(jī)制,這就是TCP/IP協(xié)議不安全的根本所在。通過(guò)TCP/IP協(xié)議缺陷進(jìn)行的常見(jiàn)攻擊有:源地址欺騙、IP欺騙、源路由選擇欺騙、路由選擇信息協(xié)議攻擊、SYN攻擊等等。</p><p>　　2.1.2 網(wǎng)絡(luò)結(jié)構(gòu)、配置、物理設(shè)備不安全</p><p>　　最初的互聯(lián)網(wǎng)

42、只是用于少數(shù)可信的用戶(hù)群體,因此設(shè)計(jì)時(shí)沒(méi)有充分考慮安全威脅,互聯(lián)網(wǎng)和所連接的計(jì)算機(jī)系統(tǒng)在實(shí)現(xiàn)階段也留下了大量的安全漏洞。并且網(wǎng)絡(luò)使用中由于所連接的計(jì)算機(jī)硬件多,一些廠(chǎng)商可能將未經(jīng)嚴(yán)格測(cè)試的產(chǎn)品推向市場(chǎng),留下大量安全隱患。同時(shí),由于操作人員技術(shù)水平有限,所以在網(wǎng)絡(luò)系統(tǒng)維護(hù)階段會(huì)產(chǎn)生某些安全漏洞,盡管某些系統(tǒng)提供了一些安全機(jī)制,但由于種種原因使這些安全機(jī)制沒(méi)有發(fā)揮其作用。</p><p>　　2.1.3 內(nèi)部用戶(hù)的安

43、全威脅</p><p>　　系統(tǒng)內(nèi)部人員存心攻擊、惡作劇或無(wú)心之失等原因?qū)W(wǎng)絡(luò)進(jìn)行破壞或攻擊的行為,將會(huì)給網(wǎng)絡(luò)信息系統(tǒng)帶來(lái)更加難以預(yù)料的重大損失。U盤(pán)、移動(dòng)硬盤(pán)等移動(dòng)介質(zhì)交叉使用和在聯(lián)接互聯(lián)網(wǎng)的電腦上使用,造成病毒交叉感染等等,都會(huì)給校園網(wǎng)絡(luò)帶來(lái)較大的安全威脅。特別是近年來(lái)利用ARP協(xié)議漏洞進(jìn)行竊聽(tīng)、流量分析、DNS劫持、資源非授權(quán)使用、植入木馬病毒不斷增加,嚴(yán)重影響了網(wǎng)絡(luò)安全。</p><p

44、>　　2.1.4 軟件的漏洞</p><p>　　一般認(rèn)為,軟件中的漏洞和軟件的規(guī)模成正比,軟件越復(fù)雜其漏洞也就越多。在網(wǎng)絡(luò)系統(tǒng)運(yùn)行過(guò)程中,由于操作系統(tǒng)自身不夠完善,針對(duì)系統(tǒng)漏洞本身的攻擊較多,且影響也較嚴(yán)重。目前如辦公、下載、視頻播放、聊天等軟件的流行,讓使用率較高的程序也成為被攻擊的目標(biāo)。 </p><p>　　2.1.5 病毒的傳播</p><p>　　

45、網(wǎng)絡(luò)的發(fā)展使資源的共享更加方便，移動(dòng)設(shè)備使資源利用顯著提高,但卻帶來(lái)病毒泛濫、網(wǎng)絡(luò)性能急劇下降,許多重要的數(shù)據(jù)因此受到破壞或丟失,也就是說(shuō),網(wǎng)絡(luò)在提供方便的同時(shí)，也成為了病毒傳播最為便捷的途徑。例如,“紅色代碼”、“尼姆達(dá)”、“沖擊波”、“震蕩波”、“歡樂(lè)時(shí)光”、“熊貓燒香”的爆發(fā)無(wú)不使成千上萬(wàn)的用戶(hù)受到影響。幾年病毒的黑客化,使得病毒的感染和傳播更加快速化、多樣化,因而網(wǎng)絡(luò)病毒的防范任務(wù)越來(lái)越嚴(yán)峻。</p><p&

46、gt;　　2.1.6 各種非法入侵和攻擊</p><p>　　由于校園網(wǎng)接入點(diǎn)較多,擁有眾多的公共資源,并且使用者安全意識(shí)淡薄,安全防護(hù)比較薄弱,使得校園網(wǎng)成為易受攻擊的目標(biāo)。非法入侵者有目的的破壞信息的有效性和完整性,竊取數(shù)據(jù),非法搶占系統(tǒng)控制權(quán)、占用系統(tǒng)資源。比如:漏洞、薄弱點(diǎn)掃描,口令破解;非授權(quán)訪(fǎng)問(wèn)或在非授權(quán)和不能監(jiān)測(cè)的方式下對(duì)數(shù)據(jù)進(jìn)行修改;通過(guò)網(wǎng)絡(luò)傳播病毒或惡意腳本,干擾用戶(hù)正常使用或者占用過(guò)多的系統(tǒng)

47、資源導(dǎo)致授權(quán)的用戶(hù)不能獲得應(yīng)有的訪(fǎng)問(wèn)或操作被延遲產(chǎn)生了拒絕服務(wù)等。</p><p>　　2.2 校園網(wǎng)安全管理和維護(hù)的措施與建議</p><p>　　通過(guò)以上安全缺陷分析,校園網(wǎng)絡(luò)安全的形式依然非常嚴(yán)峻。制定整體的安全部署解決安全隱患和漏洞,是校園網(wǎng)安全、健康運(yùn)行的保障。</p><p>　　2.2.1 配置高性能的防火墻產(chǎn)品</p><p>

48、;　　防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。一般來(lái)說(shuō),防火墻設(shè)置在可信賴(lài)的內(nèi)部網(wǎng)絡(luò)和不可信賴(lài)的外部網(wǎng)絡(luò)之間。防火墻相當(dāng)于分析器,可用來(lái)監(jiān)視或拒絕應(yīng)用層的通信業(yè)務(wù),防火墻也可以在網(wǎng)絡(luò)層和傳輸層運(yùn)行,根據(jù)預(yù)先設(shè)計(jì)的報(bào)文分組過(guò)濾規(guī)則來(lái)拒絕或允許報(bào)文分組通過(guò)。所以對(duì)防火墻作好安全設(shè)置,設(shè)定恰當(dāng)?shù)脑L(fǎng)問(wèn)控制策略,保障網(wǎng)絡(luò)資源不被非法使用和訪(fǎng)問(wèn)。</p><p>　　2.2.2 網(wǎng)絡(luò)設(shè)計(jì)、使用更合理化&l

49、t;/p><p>　　在網(wǎng)絡(luò)設(shè)計(jì)之初,需要理解終端設(shè)備安全事件對(duì)網(wǎng)絡(luò)的影響,確定需要采取的安全措施,通過(guò)已知身份驗(yàn)證的設(shè)備訪(fǎng)問(wèn)網(wǎng)絡(luò),防范未經(jīng)授權(quán)的接觸,讓入侵者難以進(jìn)入。這樣網(wǎng)絡(luò)才能提供可預(yù)測(cè)、可衡量、有保證的安全服務(wù)。</p><p>　　2.2.3 軟件漏洞修復(fù)</p><p>　　在校園網(wǎng)絡(luò)系統(tǒng)運(yùn)行過(guò)程中,一方面對(duì)用戶(hù)進(jìn)行分類(lèi),劃分不同的用戶(hù)等級(jí),規(guī)定不同的用戶(hù)權(quán)

50、限;另一方面對(duì)資源進(jìn)行區(qū)分,劃分不同的共享級(jí)別,例如:只讀、安全控制、備份等等。同時(shí),給不同的用戶(hù)分配不同的帳戶(hù)、密碼,規(guī)定密碼的有效期,對(duì)其進(jìn)行動(dòng)態(tài)的分配和修改,保證密碼的有效性;配合防火墻使用的情況下,對(duì)一些IP地址進(jìn)行過(guò)濾,以防止惡意破壞者入侵;建立補(bǔ)丁更新服務(wù)器,部署全局更新機(jī)制,實(shí)時(shí)、高效更新軟件漏洞。</p><p>　　2.2.4 防殺毒軟件系統(tǒng)</p><p>　　在互聯(lián)網(wǎng)

51、技術(shù)飛速發(fā)展的今天,病毒以每年兩千種新病毒的速度遞增。在校園網(wǎng)中使用帶防火墻的企業(yè)版殺毒軟件,就能對(duì)整個(gè)校園網(wǎng)絡(luò)的起到安全防護(hù)的作用,使計(jì)算機(jī)免受病毒入侵。</p><p>　　2.2.5 配備入侵檢測(cè)系統(tǒng)(IDS)并建立蜜罐陷阱系統(tǒng)</p><p>　　入侵檢測(cè)就是對(duì)入侵行為的檢測(cè),通過(guò)收集和分析計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息,檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊

52、的跡象,而蜜罐的目的在于吸引攻擊者、然后記錄下一舉一動(dòng)的計(jì)算機(jī)系統(tǒng),攻擊者入侵后,可以隨時(shí)了解其針對(duì)服務(wù)器發(fā)出的最新的攻擊和漏洞,這樣系統(tǒng)就可以及時(shí)、有針對(duì)性的防范攻擊和修復(fù)漏洞。</p><p>　　2.2.6 系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估</p><p>　　互聯(lián)網(wǎng)的不安全因素?zé)o時(shí)無(wú)刻的威脅著網(wǎng)絡(luò)安全,只有在網(wǎng)絡(luò)系統(tǒng)所面臨的風(fēng)險(xiǎn)進(jìn)行了有效評(píng)估的基礎(chǔ)上,才能掌握網(wǎng)絡(luò)安全中存在的漏洞和威脅,從而采取有

53、效措施控制網(wǎng)絡(luò)風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估過(guò)程是一個(gè)動(dòng)態(tài)循環(huán)的,因此必須進(jìn)行周期性、長(zhǎng)期的評(píng)估。</p><p>　　2.2.7 災(zāi)難恢復(fù)計(jì)劃</p><p>　　1996年報(bào)道的網(wǎng)絡(luò)攻擊方式只有400種,1998年達(dá)到4000種。 CERT/CC公布的漏洞數(shù)據(jù)為,2000年1090個(gè),2002年已經(jīng)增加至4129個(gè)?？梢韵胂?對(duì)管理員來(lái)說(shuō)要跟上補(bǔ)丁的步伐是很困難的。而且,入侵者往往能夠在軟件廠(chǎng)商修補(bǔ)這

54、些漏洞之前首先發(fā)現(xiàn)這些漏洞。尤其是緩沖區(qū)溢出類(lèi)型的漏洞,其危害性非常大而又無(wú)處不在,是計(jì)算機(jī)安全的最大的威脅。我們無(wú)論怎么想辦法都不可能防止災(zāi)難的發(fā)生,但為了使災(zāi)難發(fā)生造成的損失減到最小,就應(yīng)該在災(zāi)難發(fā)生之前建立意外事件計(jì)劃,記錄各種災(zāi)難發(fā)生所產(chǎn)生的影響,并為此作出相應(yīng)的應(yīng)對(duì)措施。</p><p>　　2.2.8 加強(qiáng)管理</p><p>　　隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展、應(yīng)用領(lǐng)域的廣泛性以及用

55、戶(hù)對(duì)網(wǎng)絡(luò)的了解程度加深,惡意破壞者或者非法入侵者對(duì)網(wǎng)絡(luò)安全的影響會(huì)越來(lái)越大,這就使得網(wǎng)絡(luò)安全管理工作任務(wù)更加艱巨而重要。因而,在網(wǎng)絡(luò)安全管理工作中必須做到及時(shí)進(jìn)行漏洞的修補(bǔ)和日志的查看,保證網(wǎng)絡(luò)的穩(wěn)定性。另外,高校也應(yīng)該頒布網(wǎng)絡(luò)行為的相關(guān)規(guī)范和處罰條例,這樣才能更有效的控制和減少來(lái)自?xún)?nèi)部網(wǎng)絡(luò)的安全隱患。</p><p>　　2.3 校園網(wǎng)的安全防范和管理</p><p>　　網(wǎng)絡(luò)技術(shù)的普及

56、,使人們對(duì)網(wǎng)絡(luò)的依賴(lài)程度加大,對(duì)網(wǎng)絡(luò)的破壞造成的損失和混亂會(huì)比以往任何時(shí)候都大。這也就使得高校需要對(duì)網(wǎng)絡(luò)安全做更高的要求,也使得網(wǎng)絡(luò)安全的地位將越來(lái)越重要,網(wǎng)絡(luò)安全必然會(huì)隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。 </p><p>　　隨著國(guó)家網(wǎng)絡(luò)信息化建設(shè)的飛速發(fā)展，有越來(lái)越多的學(xué)校建立起自己的校園網(wǎng)絡(luò)進(jìn)行教學(xué)和管理，同時(shí)，通過(guò)Internet的遠(yuǎn)程教育網(wǎng)絡(luò)，教育不再受?chē)?guó)家、地區(qū)、學(xué)校、學(xué)科的限制，學(xué)生能夠充分享受教育的多

57、面性、多樣性，提高學(xué)生學(xué)習(xí)的趣味性、選擇性。但與此同時(shí)隨著國(guó)家網(wǎng)絡(luò)信息化建設(shè)的飛速發(fā)展，有越來(lái)越多的學(xué)校建立起自己的校園網(wǎng)絡(luò)進(jìn)行教學(xué)和管理，同時(shí)，通過(guò)Internet的遠(yuǎn)程教育網(wǎng)絡(luò)，教育不再受?chē)?guó)家、地區(qū)、學(xué)校、學(xué)科的限制，學(xué)生能夠充分享受教育的多面性、多樣性，提高學(xué)生學(xué)習(xí)的趣味性、選擇性。但與此同時(shí)，愈演愈烈的黑客攻擊事件以及非法信息的不斷蔓延、網(wǎng)絡(luò)病毒的爆發(fā)、郵件蠕蟲(chóng)的擴(kuò)散，也給網(wǎng)絡(luò)蒙上了陰影。在高速發(fā)展的校園網(wǎng)及遠(yuǎn)程教育網(wǎng)絡(luò)系統(tǒng)中也

58、同樣存在著威脅網(wǎng)絡(luò)安全的諸多因素?！　∫话銇?lái)講，重慶信息技術(shù)職業(yè)學(xué)院校園網(wǎng)在安全方面的隱患和威脅雖然也主要來(lái)自于病毒和黑客入侵，但其要防護(hù)的重點(diǎn)則有著特定的需求。對(duì)于校園網(wǎng)而言，需要加強(qiáng)安全防范和管理的體現(xiàn)在三個(gè)方面：⑴.防范病毒入侵　　目前，網(wǎng)絡(luò)中存在的病毒已經(jīng)不計(jì)其數(shù)，并且日有更新。而隨著紅色代碼、Nimda、SQL Slammer等病毒的一再出現(xiàn)，病毒已</p><p>　　第3章 重慶信息技術(shù)職業(yè)學(xué)

59、院校園網(wǎng)安全隱患解決方案與實(shí)現(xiàn)</p><p>　　3.1 防火墻的選擇與設(shè)計(jì)</p><p>　　防火墻是網(wǎng)絡(luò)中重要的第一防線(xiàn)，越來(lái)越多的人認(rèn)識(shí)到安裝防火墻的重要性，因此我們對(duì)防火墻的性能和管理特點(diǎn)加以評(píng)測(cè)。有7個(gè)廠(chǎng)家參加了我們的評(píng)測(cè)，它們是AXENT、Check Point、Cisco、Cyber Guard、NetGuard、NetScreen和Secure Computin

60、g。重慶信息技術(shù)職業(yè)學(xué)院防火墻網(wǎng)絡(luò)拓?fù)鋱D如圖3.1。</p><p>　　圖3.1 重慶信息技術(shù)職業(yè)學(xué)院防火墻網(wǎng)絡(luò)拓?fù)鋱D</p><p>　　從防御功能、應(yīng)用層高級(jí)代理功能、支持網(wǎng)絡(luò)地址轉(zhuǎn)換、認(rèn)證支持、協(xié)議支持、加密支持、LAN接口等幾方面進(jìn)行對(duì)比。其中，Cisco的PIX性能接近線(xiàn)速，比較符合重慶信息技術(shù)職業(yè)學(xué)院校園網(wǎng)網(wǎng)絡(luò)安全的應(yīng)用。</p><p>　　3

61、.1.1Cisco PIX525防火墻</p><p>　　Cisco PIX525防火墻，是網(wǎng)絡(luò)間的墻，防止非法侵入，過(guò)濾信息等，從結(jié)構(gòu)上講，簡(jiǎn)單地說(shuō)是一種PC式的電腦主機(jī)加上閃存（Flash）和防火墻操作系統(tǒng)。它的硬件跟工控機(jī)差不多，都是屬于能適合24小時(shí)工作的，外觀(guān)造型也是相類(lèi)似。閃存基本上跟路由器一樣，都是那種EEPROM，操作系統(tǒng)跟Cisco IOS相似,都是命令行（Command）式， Cisco F

62、irewall PiX525，是一種機(jī)架式標(biāo)準(zhǔn)（即能安裝在標(biāo)準(zhǔn)的機(jī)柜里），有2U的高度，正面看跟Cisco路由器一樣，只有一些指示燈，從背板看，有兩個(gè)以太口（RJ-45網(wǎng)卡）,一個(gè)配置口（console）,2個(gè)USB,一個(gè)15針的Failover口，還有三個(gè)PCI擴(kuò)展口。</p><p>　　3.1.2 Cisco PIX525防火墻的安裝和配置</p><p>　　(1)將PIX安裝放至

63、機(jī)架，經(jīng)檢測(cè)電源系統(tǒng)后接上電源，并加電主機(jī)。</p><p>　　(2)建立用戶(hù)和修改密碼</p><p>　　用配置線(xiàn)從電腦的COM2連到PIX525的console口，進(jìn)入PIX操作系統(tǒng)采用windows系統(tǒng)里的“超級(jí)終端”，通訊參數(shù)設(shè)置為默認(rèn)。初始使用有一個(gè)初始化過(guò)程，主要設(shè)置：Date(日期)、time(時(shí)間)、hostname(主機(jī)名稱(chēng))、inside ip address(內(nèi)部

64、網(wǎng)卡IP地址)、domain(主域)等，如果以上設(shè)置正確，就能保存以上設(shè)置，也就建立了一個(gè)初始化設(shè)置了。 進(jìn)入Pix525采用超級(jí)用戶(hù)(enable),默然密碼為空，修改密碼用passwd命令[5]。</p><p><b>　　(3)激活以太端口</b></p><p>　　激活以太端口必須用enable進(jìn)入，然后configure模式</p><

65、;p>　　PIX525>enable </p><p>　　Password: </p><p>　　PIX525#config t </p><p>　　PIX525(config)#interface ethernet0 auto </p><p>　　PIX525(config)#interface ethernet1 au

66、to </p><p>　　在默然情況下ethernet0是屬外部網(wǎng)卡outside, ethernet1是屬內(nèi)部網(wǎng)卡inside。 inside在初始化配置成功的情況下已經(jīng)被激活生效了，但是outside必須命令配置激活。</p><p>　　(4)命名端口與安全級(jí)別</p><p>　　采用命令nameif </p><p>　　PIX5

67、25(config)#nameif ethernet0 outside security0 </p><p>　　PIX525(config)#nameif ethernet0 outside security100 </p><p>　　security0是外部端口outside的安全級(jí)別（100安全級(jí)別最高） </p><p>　　security100是內(nèi)部端

68、口inside的安全級(jí)別,如果中間還有以太口，則security10，security20等等命名，多個(gè)網(wǎng)卡組成多個(gè)網(wǎng)絡(luò)，一般情況下增加一個(gè)以太端口作為DMZ(Demilitarized Zones非武裝區(qū)域) [2]。</p><p>　　(5)配置以太端口IP地址</p><p>　　采用命令為：ip address </p><p>　　內(nèi)部網(wǎng)絡(luò)為：192.1

69、68.1.0 255.255.255.0 </p><p>　　外部網(wǎng)絡(luò)為：222.20.16.0 255.255.255.0 </p><p>　　PIX525(config)#ip address inside 192.168.1.1 255.255.255.0 </p><p>　　PIX525(config)#ip address outside 222.2

70、0.16.1 255.255.255.0</p><p>　　(6)配置遠(yuǎn)程訪(fǎng)問(wèn)（telnet）</p><p>　　PIX的以太端口是不允許telnet的，這一點(diǎn)與路由器有區(qū)別。Inside端口可以做telnet就能用了,但outside端口還跟一些安全配置有關(guān)。</p><p>　　PIX525(config)#telnet 192.168.1.1 255.25

71、5.255.0 inside </p><p>　　PIX525(config)#telnet 222.20.16.1 255.255.255.0 outside </p><p><b>　　測(cè)試telnet </b></p><p>　　在[開(kāi)始]->[運(yùn)行] </p><p>　　telnet 192.168

72、.1.1 </p><p>　　PIX passwd：</p><p>　　輸入密碼：cisco</p><p>　　(7)訪(fǎng)問(wèn)列表（access-list）</p><p>　　有permit和deny兩個(gè)功能，網(wǎng)絡(luò)協(xié)議一般有IP、TCP、UDP、ICMP等等，只允許訪(fǎng)問(wèn)主機(jī):222.20.16.254的www,端口為：80</p&g

73、t;<p>　　PIX525(config)#access-list 100 permit ip any host 222.20.16.254 eq www </p><p>　　PIX525(config)#access-list 100 deny ip any any </p><p>　　PIX525(config)#access-group 100 in interf

74、ace outside</p><p>　　(8)地址轉(zhuǎn)換（NAT）和端口轉(zhuǎn)換（PAT）</p><p>　　首先必須定義IP Pool，提供給內(nèi)部IP地址轉(zhuǎn)換的地址段，接著定義內(nèi)部網(wǎng)段。 </p><p>　　PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.

75、255.0 </p><p>　　PIX525(config)#nat (outside) 1 192.168.0.0 255.255.255.0 </p><p>　　如果是內(nèi)部全部地址都可以轉(zhuǎn)換出去則： </p><p>　　PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0</p><p>　　

76、外部地址是很有限的，有些主機(jī)必須單獨(dú)占用一個(gè)IP地址，必須解決的是公用一個(gè)外部IP(222.20.16.201),則必須多配置一條命令，這種稱(chēng)為（PAT），這樣就能解決更多用戶(hù)同時(shí)共享一個(gè)IP,有點(diǎn)像代理服務(wù)器一樣的功能。配置如下：</p><p>　　PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255

77、.0 </p><p>　　PIX525(config)#global (outside) 1 222.20.16.201 netmask 255.255.255.0 </p><p>　　PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0</p><p>　　(9)DHCP Server</p><p&

78、gt;　　在內(nèi)部網(wǎng)絡(luò)，為了維護(hù)的集中管理和充分利用有限IP地址，都會(huì)啟用動(dòng)態(tài)主機(jī)分配IP地址服務(wù)器，下面簡(jiǎn)單配置。</p><p>　　地址段為192.168.1.100—192.168.168.1.200</p><p>　　DNS: 主202.96.128.68 備202.96.144.47 </p><p>　　主域名稱(chēng)：abc.com.cn </p&g

79、t;<p>　　DHCP Client 通過(guò)PIX Firewall </p><p>　　PIX525(config)#ip address dhcp </p><p>　　DHCP Server配置：</p><p>　　PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200 </p&

80、gt;<p><b>　　inside </b></p><p>　　PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47 </p><p>　　PIX525(config)#dhcp domain abc.com.cn</p><p>　　(10)靜態(tài)端口重定向</p>

81、;<p>　　PIX525增加了端口重定向的功能，允許外部用戶(hù)通過(guò)一個(gè)特殊的IP地址端口通過(guò)Firewall PIX525 傳輸?shù)絻?nèi)部指定的內(nèi)部服務(wù)器。這種功能也就是可以發(fā)布內(nèi)部WWW、FTP、Mail等服務(wù)器了，這種方式并不是直接連接，而是通過(guò)端口重定向，使得內(nèi)部服務(wù)器很安全[1]。</p><p><b>　　命令格式： </b></p><p>&

82、lt;b>　　static </b></p><p>　　[(internal_if_name,external_if_name)]{global_ip|interface} </p><p><b>　　local_ip </b></p><p>　　[netmask mask][max_cons[max_cons[emb

83、_limit[norandomseq]]] </p><p><b>　　static </b></p><p>　　[(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface} </p><p><b>　　local_ip </b></p&

84、gt;<p>　　[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]] </p><p>　　外部用戶(hù)直接訪(fǎng)問(wèn)地址222.20.16.99 </p><p>　　telnet端口，通過(guò)PIX重定向到內(nèi)部主機(jī)192.168.1.99的telnet端口（23）。 </p><p>　　PIX5

85、25(config)#static (inside,outside) tcp 222.20.16.99 </p><p>　　telnet 192.168.1.99 telnet netmask 255.255.255.0 </p><p>　　外部用戶(hù)直接訪(fǎng)問(wèn)地址222.20.16.99 </p><p>　　FTP，通過(guò)PIX重定向到內(nèi)部192.168.1.3的

86、FTP Server。 </p><p>　　PIX525(config)#static (inside,outside) tcp 222.20.16.99 </p><p>　　ftp 192.168.1.3 ftp netmask 255.255.255.0 </p><p>　　外部用戶(hù)直接訪(fǎng)問(wèn)地址222.20.16.208 </p><p

87、>　　www(80端口)，通過(guò)PIX重定向到內(nèi)部192.168.123的主機(jī)的www(80端口)。 </p><p>　　PIX525(config)#static (inside,outside) tcp 222.20.16.208 </p><p>　　www 192.168.1.2 www netmask 255.255.255.255 0 0 </p><

88、p>　　外部用戶(hù)直接訪(fǎng)問(wèn)地址222.20.16.201 </p><p>　　HTTP(8080端口)，通過(guò)PIX重定向到內(nèi)部192.168.1.4的主機(jī)的www(即80端口)。 </p><p>　　PIX525(config)#static (inside,outside) tcp 222.20.16.208 </p><p>　　8080 192.168

89、.1.4 www netmask 255.255.255.0 </p><p>　　外部用戶(hù)直接訪(fǎng)問(wèn)地址222.20.16.5 </p><p>　　smtp(25端口)，通過(guò)PIX重定向到內(nèi)部192.168.1.5的郵件主機(jī)的smtp(即25端口) </p><p>　　PIX525(config)#static (inside,outside) tcp 222.

90、20.16.208 </p><p>　　smtp 192.168.1.4 smtp netmask 255.255.255.0</p><p>　　(11)顯示與保存結(jié)果</p><p>　　采用命令show config </p><p>　　保存采用write memory[2]</p><p>　　3.2 校園

91、網(wǎng)身份認(rèn)證系統(tǒng)的選擇與設(shè)計(jì) </p><p>　　在網(wǎng)站建設(shè)的過(guò)程中，多個(gè)應(yīng)用系統(tǒng)一般是在不同的時(shí)期開(kāi)發(fā)完成的。各應(yīng)用系統(tǒng)由于功能側(cè)重、設(shè)計(jì)方法和開(kāi)發(fā)技術(shù)有所不同，也就形成了各自獨(dú)立的用戶(hù)庫(kù)和用戶(hù)認(rèn)證體系。隨著網(wǎng)站的發(fā)展，會(huì)出現(xiàn)這樣的用戶(hù)群體：以其中的一個(gè)用戶(hù)為例，他（她）使用網(wǎng)站的多個(gè)應(yīng)用系統(tǒng)，但在每個(gè)應(yīng)用系統(tǒng)中有獨(dú)立的賬號(hào)，沒(méi)有一個(gè)整體上的網(wǎng)站用戶(hù)賬號(hào)的概念，進(jìn)入每一個(gè)應(yīng)用系統(tǒng)前都需要以該應(yīng)用系統(tǒng)的賬號(hào)來(lái)登錄

92、。這帶給用戶(hù)不方便的使用感受，用戶(hù)會(huì)想：既然我使用的是同一個(gè)網(wǎng)站上的應(yīng)用，為什么不能在一次在網(wǎng)站上登錄之后不必再經(jīng)過(guò)應(yīng)用系統(tǒng)認(rèn)證直接進(jìn)入應(yīng)用系統(tǒng)呢？用戶(hù)的要求我們稱(chēng)之為 "單點(diǎn)登錄"。</p><p>　　1．分析在多個(gè)擁有各自獨(dú)立的用戶(hù)體系的應(yīng)用系統(tǒng)間實(shí)現(xiàn)單點(diǎn)登錄，我們要考慮以下的問(wèn)題：</p><p>　　單點(diǎn)登錄系統(tǒng)的實(shí)現(xiàn)在各應(yīng)用系統(tǒng)都采用B/S模式這一前提下進(jìn)

93、行。</p><p>　　需要在各應(yīng)用系統(tǒng)間統(tǒng)一用戶(hù)認(rèn)證標(biāo)志，用戶(hù)登錄后可以得到用戶(hù)令牌，各應(yīng)用系統(tǒng)認(rèn)可統(tǒng)一的用戶(hù)令牌。</p><p>　　用戶(hù)令牌應(yīng)當(dāng)是安全加密的，并且要限定時(shí)效期。</p><p>　　由于每個(gè)應(yīng)用系統(tǒng)都有自己的用戶(hù)庫(kù)，一個(gè)用戶(hù)可能在不同的應(yīng)用系統(tǒng)中使用不同的賬號(hào)，因此每個(gè)要使用多個(gè)應(yīng)用系統(tǒng)的用戶(hù)要設(shè)置一個(gè)統(tǒng)一的用戶(hù)賬號(hào)并以此賬號(hào)進(jìn)行單點(diǎn)登錄，

94、該賬號(hào)與該用戶(hù)在各應(yīng)用系統(tǒng)中的一個(gè)賬號(hào)形成映射關(guān)系。</p><p>　　各應(yīng)用系統(tǒng)可能屬于不同的域，因此要實(shí)現(xiàn)跨域的單點(diǎn)登錄。</p><p>　　已經(jīng)上線(xiàn)運(yùn)行的應(yīng)用系統(tǒng)需要進(jìn)行改造來(lái)支持單點(diǎn)登錄，正在開(kāi)發(fā)的應(yīng)用系統(tǒng)則可以在開(kāi)發(fā)階段增加對(duì)單點(diǎn)登錄的支持，但應(yīng)用系統(tǒng)之間應(yīng)該是松耦合。</p><p>　　由于各應(yīng)用系統(tǒng)往往都已經(jīng)處于穩(wěn)定運(yùn)行期，單點(diǎn)登錄系統(tǒng)的實(shí)現(xiàn)應(yīng)該

95、對(duì)各應(yīng)用系統(tǒng)的登錄認(rèn)證體系沖擊最小，各應(yīng)用系統(tǒng)原有的登錄流程依然可用。</p><p>　　一些應(yīng)用服務(wù)器平臺(tái)雖然提供對(duì)單點(diǎn)登錄的支持，但要求應(yīng)用系統(tǒng)用戶(hù)認(rèn)證的設(shè)計(jì)符合其規(guī)范，這對(duì)已經(jīng)處于運(yùn)行期的應(yīng)用系統(tǒng)來(lái)說(shuō)難以實(shí)現(xiàn)[2]。</p><p>　　2．設(shè)計(jì)系統(tǒng)的整體設(shè)計(jì)結(jié)構(gòu)如圖3.2。</p><p>　　3. 單點(diǎn)登陸的設(shè)計(jì)流程</p><p&

96、gt;<b>　　1.登入流程</b></p><p>　　單點(diǎn)登錄分為登入和登出兩個(gè)部分。登入的流程如下：</p><p>　?。?）.通過(guò)URL，對(duì)子系統(tǒng)發(fā)起訪(fǎng)問(wèn)請(qǐng)求；</p><p>　　（2）.子系統(tǒng)根據(jù)用戶(hù)傳入的URL，判斷URL中是否存在State參數(shù)；</p><p>　?。?）.如果存在state狀態(tài)值，

97、轉(zhuǎn)到4；不存在State參數(shù)，說(shuō)明用戶(hù)第一次登錄本系統(tǒng)，跳轉(zhuǎn)到SSO服務(wù)器對(duì)用戶(hù)進(jìn)行驗(yàn)證，并將當(dāng)前頁(yè)面URL作為參數(shù)傳入SSO系統(tǒng)；</p><p>　　SSO服務(wù)器根據(jù)傳進(jìn)來(lái)的URL， 判斷URL中是否存在用戶(hù)名和密碼參數(shù)， 如果存在，則驗(yàn)證用戶(hù)名和密碼的正確性，并根據(jù)驗(yàn)證的結(jié)果設(shè)置state狀態(tài)值（合法為4，非法為1），返回子系統(tǒng)，轉(zhuǎn)到1；</p><p>　　如果不存在用戶(hù)名和密碼參

98、數(shù)，SSO服務(wù)器讀取客戶(hù)端本地的cookie信息，如果不存在cookie，說(shuō)明是用戶(hù)第一次系統(tǒng)，設(shè)置State的值為1，返回子系統(tǒng)，轉(zhuǎn)到1；如果客戶(hù)端存在cookie，讀取cookie，判斷該用戶(hù)是否合法登錄用戶(hù)，并根據(jù)結(jié)果設(shè)置state狀態(tài)值（有使用權(quán)限為2，沒(méi)有使用權(quán)限為3），返回子系統(tǒng)，轉(zhuǎn)到1；</p><p>　　4. 根據(jù)state狀態(tài)值進(jìn)行相應(yīng)的跳轉(zhuǎn)， 如果state為2或者4， 跳轉(zhuǎn)至子系統(tǒng)相應(yīng)的服

99、務(wù)頁(yè)面；如果狀態(tài)值為1或者3，跳轉(zhuǎn)到登錄頁(yè)面讓用戶(hù)重新登錄。單點(diǎn)登入的流程圖如圖3.3所示。</p><p>　　圖3.3 單點(diǎn)登入流程圖</p><p>　　為了確保系統(tǒng)的安全，Cookie中只記錄用戶(hù)名和用戶(hù)的IP地址，并且對(duì)這些信息進(jìn)行加密。SSO服務(wù)器在用戶(hù)第一次登陸時(shí)，將登陸用戶(hù)的用戶(hù)名和其當(dāng)前的IP地址寫(xiě)入cookie，當(dāng)用戶(hù)再次請(qǐng)求其它系統(tǒng)的服務(wù)時(shí)，SSO服務(wù)器驗(yàn)證cook

100、ie信息，只需判斷cookie中的用戶(hù)名和IP是否與當(dāng)前請(qǐng)求服務(wù)的用戶(hù)的用戶(hù)名和IP地址信息一致，如果一致，說(shuō)明該用戶(hù)已經(jīng)登陸，允許其使用請(qǐng)求的服務(wù)；如果不一致或者該用戶(hù)的cookie不存在，說(shuō)明該用戶(hù)沒(méi)有進(jìn)行合法登錄，需要其重新進(jìn)行登陸。因?yàn)槲覀兗尤肓薎P信息，從而杜絕了用戶(hù)的cookie被拷貝直其它機(jī)器使用的情況。而且，通過(guò)SSO服務(wù)器對(duì)用戶(hù)進(jìn)行cookie操作，解決了不同站點(diǎn)之間跨域的問(wèn)題。 </p><p&g

101、t;<b>　　2.登出流程 </b></p><p>　　當(dāng)用戶(hù)使用系統(tǒng)完畢，需要登出時(shí)，需要已登錄用戶(hù)在cookie中的信息被銷(xiāo)毀，放置后來(lái)的用戶(hù)利用前面用戶(hù)的信息進(jìn)行登陸。登出的流程如下：</p><p>　?。?）.客戶(hù)端發(fā)出登出請(qǐng)求；</p><p>　?。?）.子系統(tǒng)的登出系統(tǒng)跳轉(zhuǎn)到SSO的登出頁(yè)面；</p><

102、p>　?。?）.SSO對(duì)客戶(hù)端的Cookie進(jìn)行刪除；</p><p>　?。?）.刪除客戶(hù)端Cookie后，跳轉(zhuǎn)到子系統(tǒng)的登出頁(yè)面；</p><p>　?。?）.退出所有的系統(tǒng)。 </p><p>　　3.單點(diǎn)登錄系統(tǒng)的安全性</p><p>　　對(duì)于單點(diǎn)登錄系統(tǒng)，安全性是一個(gè)必須考慮的問(wèn)題。本系統(tǒng)采取了良好的機(jī)制，確保子系統(tǒng)和SSO

103、系統(tǒng)之間通信的安全性。對(duì)于SSO服務(wù)器和子系統(tǒng)傳遞的信息，通過(guò)非對(duì)稱(chēng)加密和數(shù)字簽名的方式保證數(shù)據(jù)的真實(shí)性。對(duì)應(yīng)客戶(hù)端的cookie，采用內(nèi)存cookie，加入用戶(hù)的IP等信息并進(jìn)行加密，確保cookie的安全性。</p><p>　　4.cookie的安全性保證</p><p>　　從上面的登入過(guò)程可以看出，SSO服務(wù)器在驗(yàn)證用戶(hù)是否已經(jīng)登陸時(shí)，是通過(guò)讀取客戶(hù)端cookie信息來(lái)進(jìn)行判定。

104、為了確保cookie的安全性，我們?cè)赾ookie中記錄的信息只有用戶(hù)的用戶(hù)名和IP地址而不對(duì)密碼進(jìn)行記錄，并且用戶(hù)名和IP地址都是經(jīng)過(guò)加密。同時(shí)，我們采用內(nèi)存cookie的形式，cookie只是保存在內(nèi)存中，用戶(hù)關(guān)閉瀏覽器后該cookie便失效，避免非法用戶(hù)盜竊合法用戶(hù)的cookie。</p><p>　　5.服務(wù)器與站點(diǎn)之間信息傳輸?shù)陌踩ＷC</p><p>　　從上面的登錄流程可以看出

105、， 子系統(tǒng)和SSO服務(wù)器之間需要URL的跳轉(zhuǎn)來(lái)傳遞狀態(tài)信息或者用戶(hù)名以及口令，如何確保這些信息的安全性也是系統(tǒng)需要著重考慮的問(wèn)題。我們讓子系統(tǒng)和服務(wù)器之間共享RSA算法的一對(duì)密鑰，采用非對(duì)稱(chēng)加密和數(shù)字簽名的方法確保這些信息的保密性以及不被篡改。</p><p>　　子系統(tǒng)與SSO服務(wù)器之間URL的跳轉(zhuǎn)分以下三種情況：</p><p>　?。?）.如果用戶(hù)第一次訪(fǎng)問(wèn)子系統(tǒng)，子系統(tǒng)生成一個(gè)隨機(jī)

106、值作為登錄ID，然后構(gòu)造URL，</p><p>　　重定向到SSO服務(wù)器。URL的格式[6]</p><p><b>　　如下所示：</b></p><p>　　http://sso服務(wù)器URL? siteid&loginid&sigtext&siteAddress其中，siteid為子系統(tǒng)ID，loginid為登錄I

107、D，siteAddress為從SSO服務(wù)器返回子系統(tǒng)時(shí)的URL，sigtext為子系統(tǒng)對(duì)字符串“l(fā)oginid siteAddress”的數(shù)字簽名。簽名過(guò)程為先對(duì)“l(fā)oginidsiteAddress”用MD5算法取hash值，然后用RSA的公鑰對(duì)其進(jìn)行加密。SSO服務(wù)器在收到子系統(tǒng)的重定向請(qǐng)求后，從URL中取出loginid和siteAddress參數(shù)，然后用RSA的私鑰對(duì)sigtext簽名進(jìn)行驗(yàn)證，只有驗(yàn)證通過(guò)后才進(jìn)行后面的過(guò)程。&

108、lt;/p><p>　?。?）.在子系統(tǒng)的登錄頁(yè)面， 輸入用戶(hù)名和密碼并提交后， 將從子系統(tǒng)跳轉(zhuǎn)到SSO服務(wù)器，這時(shí)URL格式如下所示：</p><p>　　http://sso服務(wù)器URLsiteid&loginid&username&userpsw&sigtext&siteAddress其中，username和userpsw是經(jīng)過(guò)RSA公鑰加密的用戶(hù)

109、名和密碼，siteid、loginid、siteAddress的內(nèi)容同上，sigtext為“username userpsw loginid siteAddress”的數(shù)字簽名。SSO服務(wù)器在收到子系統(tǒng)的請(qǐng)求后， 同樣需要對(duì)簽名進(jìn)行驗(yàn)證， 驗(yàn)證如果通過(guò)， 用私鑰解密username和userpsw字段，核對(duì)用戶(hù)的合法行。</p><p>　?。?）.從SSO服務(wù)器返回子系統(tǒng)時(shí)，URL的格式如下所示：http://

110、子系統(tǒng)siteAddress?State&loginid&sigtext</p><p>　　其中，state為返回的狀態(tài)，loginid為登錄ID，sigtext為對(duì)“state loginid”的數(shù)字簽</p><p>　　其中，state為返回的狀態(tài)，loginid為登錄ID，sigtext為對(duì)“state loginid”的數(shù)字簽名，子系統(tǒng)首先對(duì)數(shù)字簽名進(jìn)行驗(yàn)證，驗(yàn)